Alle vil have Zero Trust, men 95 procent af de virksomheder, som tror, at de har implementeret det, har gjort det forkert, hvilket næsten gør dem mere usikre.
Derfor skal du stedet implementere Smart Trust.
Torben Clemmensen, security specialist, VIPRE Security
Zero Trust er et af de mest hypede buzzwords inden for it-sikkerhed i disse dage – og med god grund, for grundideen er tæt på genial i alt sin enkelthed: Stol på ingen, giv så få rettigheder som muligt og forvent, at dit it-sikkerhedsforsvar allerede er blevet brudt. Dejligt pessimistisk, men implementeret korrekt er det et fremragende værn mod it-kriminelle – både i forbindelse med forebyggelse og håndtering af damage control, når du bliver angrebet.
Problemet er bare, at langt de fleste ikke formår at implementere Zero Trust korrekt, for Zero Trust kan ikke implementeres i din eksisterende it-sikkerhedsstrategi – det skal designes fra bunden. Og netop det glemmer – eller bevidst overser, fordi alternativet er for uoverskueligt – de fleste virksomheder og ender med at bruge en formue, tid og ressourcer på Zero Trust, uden at opnå det ønskede sikkerhedsniveau.
Zero Trust burde være the security framework to end all security frameworks, men for de fleste skaber det bare flere problemer, mere shadow it og en større risiko for nedbrud og angreb.
Gartner Magic Quadrant
En af problemerne ligger i, at når den årlige udgivelse af eksempelvis Gartners Magic Quadrant udkommer, nærstuderer mange listen for at se, hvilke produkter som ligger i toppen og konkluderer, at ”det er da det, der skal beskytte min virksomhed.”
Zero Trust bygger kort fortalt på authentication management, løsninger der kan tale sammen og best practice-politikker, og imens de mange udbydere forklarer, at deres løsninger fungerer i et Zero Trust-framework, betyder det ikke, at de fungerer sammen. Det er nærmest Apples økosystem om igen.
Så når en virksomhed vælger løsninger fra GMQ, som ikke taler sammen, så ender man blot med at bygge et meget vertikalt system med kontrol på kontrol på kontrol, hvilket skaber et monster af en anden verden. Tillæg derpå VPN, end point-sikkerhed og andre nødvendige sikkerhedsløsninger, som kun gør de ansattes arbejde mere besværligt.
Vi har oplevet virksomheder, hvor de ansatte bruger op imod ni minutter på bare at logge på om morgenen, fordi de skal logge på otte forskellige steder, og ingen af løsningerne taler sammen.
Og hvad betyder det?
At de ansatte bliver hackere.
Ansatte vil virksomheden det bedste
Dine ansatte vil som udgangspunkt beskytte virksomheden, men kun så længe, at det ikke generer dem i deres eget arbejde. Hvis it bliver en gene, når de skal sælge, supportere, producere eller udvikle, så stiger risikoen for, at den ansatte forsøger at undvige it-besvær – og så skabes der skygge it. De bruger eksempelvis deres smartphone til at logge på løsninger, hvor de ikke må, eller gemmer data i offentlige skyer eller på deres laptop frem for at have det liggende på virksomhedens servere, fordi processerne er for tunge grundet dårligt implementeret Zero Trust.
Oxford Universitet udgav sidste år en analyse som viser, at hvis du bruger mere end 50 forskellige it-sikkerhedsmæssige applikationer og -hardwareløsninger – og det er der overraskende mange virksomheder, som gør – så falder dit it-sikkerhedsniveau med 8 procent for hver 5 procent mere it-sikkerhed, du tilføjer. Og en af grundene er brugertræthed. Eller ”ansatte som er trætte af it-afdelingens pis”-syndromet, kan vi også kalde det.
Drop Zero Trust – Smart Trust er det nye sort
Zero Trust er et framework, som blev udviklet tilbage i 2017. Verden udvikler sig hurtigt, og derfor er det jo et oldtidsfund på niveau med Tollundmanden i dag, som ikke længere lever op til den verden, den fungerer i.
Derfor kommer jeg her med et bud på et nyt framework, som vi bør tage til os: Smart Trust (copyright pending – navnet blev undfanget i over-hækken-dialog med min nabo, som tilfældigvis også er it-sikkerhedskonsulent).
Det er Zero Trust, men bare smart – smart, ikk’? Så længe at Zero Trust er så meget et buzzword, og at store spillere på markedet skaber halvlukkede systemer, som ikke fungerer på tværs, så skaber det problemer, når virksomheder forsøger at implementere det.
Så hvad er Smart Trust?
Et framework, som virksomheder kan bruge til at designe deres it-sikkerhedsstruktur op efter, men med fokus på at undgå de børnesygdomme, som findes ved Zero Trust.
Det kan koges ned til:
- Tag dig tid til analyse: Snak med dine ansatte og kortlæg deres arbejdsvaner, hvad de arbejder med, hvordan og hvornår de gør hvad samt deres kontaktflader med virksomhedens it-software. Lyt også til de udfordringer, som de eventuelt oplever i din eksisterende it-sikkerhedsløsning, så du ikke laver de samme fejl igen. Kun på den måde undgår du skygge it.
- Opbyg fra bunden af: Smart Trust skal – ligesom Zero Trust – designes fra bunden og kan ikke integreres oven på et eksisterende system, men det betyder ikke, at du skal skrotte eksisterende it-software – Så længe det fungerer sammen med de andre it-løsninger, som er nødvendige for at nå dit mål, behøver man ikke opfinde den dybe tallerken en gang til. Husk ligeledes at segmentere dit netværk. Dette er en af de lavthængende frugter og vil være afgørende, hvis/når din virksomhed bliver infiltreret.
- Hav styr på dine data: Skab en grundform ved at vide, hvem der har adgang til virksomhedens data, hvorfra det sker og hvornår. Har du dette, har du også et overblik.
- Alle it-sikkerhedsløsninger skal snakke sammen: Du kan have alle de bedste it-løsninger på markedet, men de er intet værd, hvis de ikke snakker sammen. Og ved at alt fungerer på tværs af applikationer, er det muligt at komme i mål med Smart Trust. Ligeledes er det muligt at skabe en platform, hvor alle applikationer afrapporterer til ét sted. Ellers mister du fuldstændig overblikket.
- Benyt SSO med multifaktor og personliggør it-sikkerheden: Skal implementeres alle steder i virksomheden og på tværs af alle platforme. Med multifaktor mener vi, at der valideres på tværs af bruger, enhed og netværk.
Det betyder, at når Bente logger på om morgenen på sin enhed, så åbnes der også automatisk op for alle de platforme og løsninger, som Bente måtte få brug for og skal have adgang til, ud fra hendes brugerprofil, enhedstype og netværk. Hun skal eksempelvis ikke have adgang til kritiske filer og netværk, hvis hun sidder fra et åbent netværk på en cafe, men stadig til hendes Outlook og kundemapper, så hun kan arbejde.
Dette er allerede muligt i dag via eksempelvis et stærkt Microsoft-fundament krydret med ekstra tredjepartsikkerhedsløsninger.
- Afvis skygge it på en omfavnende måde: Dit system skal afvise BOYD-enheder og skygge it-løsninger, men uden at genere brugeren. Hvis Bente eksempelvis tilgår hendes arbejdsmail på hendes telefon fra et ukendt sted og netværk, så bloker kun skrive og redigeringsrettigheder – højst sandsynligt vil hun bare læse en ny mail, som hun derefter kan reagere på ved at tage fat i den rette kollega.